$_SERVER["PHP_SELF"]はどのようにXSS攻撃に使われるのか教えてください

簡単なフォームです

html
1<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
2  <input type="submit" name="submit" value="submit">
3</form>

もしフォームが送信されたら$_SERVER["PHP_SELF"]を表示します。

PHP
1<?php
2if (isset($_POST['submit'])) {
3echo $_SERVER["PHP_SELF"];
4}

テストとして、
下記のJAVASCRIPTをブラウザーのURLに入力し、フォームが送信してみても、
$_SERVER["PHP_SELF"]は変わりません。

JAVASCRIPT
1<script>alert('test');</script>

PHPマニュアルを読んでみても、ファイル名はドキュメントルートから取得されるので、
変化はありません。

PHP_SELF'
現在実行しているスクリプトのファイル名です。ドキュメントルートから取得されます。

どのようにしたら、
$_SERVER["PHP_SELF"]でJAVASCRIPTを実行できるようになるのですか？

※エスケープ処理の勉強をしていて、
この仕組みがわからなかったので、質問しました。
もしブラウザーのURLからファイル名を取得しないなら、
エスケープ処理の意味がないと思いました。

行動規範の内容に同意します

回答2件

ベストアンサー

んーと、こういう事しないからよく知らないんだけどね、

$_SERVER['PHP_SELF']は危険？

このページの例では、mod_rewriteでリダイレクトしてる場合に発生するみたいだね。

普通に考えると、URLとしてPHPコードを特定できなかったらそもそもPHPが実行されないのでAccess Forbiddenあたりになるはずだけど、それを無理やりリダイレクトしてるので問題起きてる感じかな。

個人的にはmod_rewriteで裁くとか変なことしないでRoutsクラスみたいなので裁けよって感じかな…。

投稿2018/06/10 11:51

退会済みユーザー

総合スコア0

退会済みユーザー

2018/06/10 11:55

と、おもったけど http://d.hatena.ne.jp/geek-it/20120229/p1 みると、 http://localhost/PhpProject1/com.php/hage こんなんでもcom.phpにアクセスできるのね。まぁ、$_SERVER['PHP_SELF']とか使うようなコード普通にアプリ作ってたら書かないんだけどね。

退会済みユーザー

2018/06/10 11:55

勉強になったっていうか、そもそも書かないから使いみちないっていうか…。

退会済みユーザー

2018/06/10 13:02

ありがとうございます。html5だと、ACTIONはいらないですね。

退会済みユーザー

2018/06/10 13:04

http://d.hatena.ne.jp/geek-it/20120229/p1 が役立ちました。ありがとうございました。

行動規範の内容に同意します

http://www.example.jp/example.php/%22%3E%3Cscript%3Ealert(%27XSS%27);%3C/script%3E/
でアクセスしてみるとすぐ確認できるかと。

$_SERVER["PHP_SELF"]は仕様がイケてないので、使用しないの一択です。

投稿2018/06/10 12:34

退会済みユーザー

総合スコア0

退会済みユーザー

2018/06/10 13:03

ありがとうございます。URLにタイプしたらそうなりますが、フォーム送信だと、URLに変化はありません。

退会済みユーザー

2018/06/10 13:06

一度ULRをENTERして、そのあと送信したらそうなりそうです。

退会済みユーザー

2018/06/10 13:26

URL は、リンク踏ませれば良いって理解してます？投稿画面表示した時点で、cookie を送信されてアウトです。ちなみに、POST 内容に $_SERVER["PHP_SELF"] は無関係なんだから、多分、試行の方向性が間違ってます。

退会済みユーザー

2018/06/11 05:28

コメントありがとうございます。ごめんなさい。今の私の知識ではよくわかりません（笑） http://www.example.jp/example.php/%22%3E%3Cscript%3Ealert(%27XSS%27);%3C/script%3E/ をアクセルすると、私のPCではXSSだということでCHROMEはブロックしてくれます。悪質なユーザーは、フォームのURLを誰かに送って、ユーザーがフォーム送信時にアウトになるのではなく（私はそう勘違いしていました）、 JAVASCRIPTが埋め込まれたURLをおくって、それを開いたら、アウト、ということですね？http://www.example.jp/example.php/%22%3E%3Cscript%3Ealert(%27XSS%27);%3C/script%3E/　混乱したのはACTION=$_SERVER["PHP_SELF"]が問題になっていたので、フォーム送信時の問題かと・・・でもそうじゃなくて、POSTは関係ないということですね。

退会済みユーザー

2018/06/11 08:44

概ね正しい理解になったかと。 echo $_SERVER["PHP_SELF"] と、エスケープ無しで $_SERVER["PHP_SELF"] を表示した時点で、XSS の可能性が発生します。 <a href="/xss_test.php/%22%20onmouseover=%22alert('XSS')%22">LINK</a><br> <?php echo '<a href="'. $_SERVER['PHP_SELF'] .'">on mouse XSS</a>'; ?> 上記だと LINK を踏んだときのみ、アラートが発生します。

退会済みユーザー

2018/06/11 08:46

ありがとうございます。よく理解できました。可能ならこちらの回答もベストアンサーにしたいのですが、申し訳ございません。本当に感謝いたします。

行動規範の内容に同意します

あなたの回答